那究竟什么是关联分析呢?下面举个例子给大家解释一下,都在提关联分析。在这里可以看到,在我的外网可能有人对我的服务器进行访问,在我的防火墙、入侵检测包括操作系统的日志上都记录了很多记录,但在不同的位置的记录都是分散的,就像防火墙一样,一天有几千万条日志,上面写的是通过了还是没有通过,你可能看都没有看,那我怎样找到其中的关系。刚才说的是外网的人访问内网的人,其实中间有一些攻击的数据在里面,那么IDS会告诉我们这些数据包里面有一些攻击数据包,那么它可能会告诉你一万条这样的信息,那么我们到底应该看谁?其实不管怎样我们都要重视这些,我可以从蓝色的IP地址到右侧的地址会有不同的记录,其实这么多的记录之间是有关联性的,我们说外网数据包到达了内网,相当于一个数据进入到了这里面,后来我们发现从里面可以往外回到外网,实际上这就代表一个成功的攻击事件完成了,为什么呢?因为它已经可以往回传数据了。那么对ArcSight来说我们可以对这些信息抓取进行检查,当然这里面有一些规则,它会对上千万条的日志,进行分析,发现1、2、3、4几个步骤之后发出一个什么样的通知或者告警,或者是声音或者发一些邮件,它会告诉我这可能是一个攻击成功的事件,这是需要我关注的,虽然还有很多其它的,但是经过这几个步骤的关联分析之后,发现这是非常有可能成功的攻击事件。所以这样我们就会很枯燥的在其中找到一些之间的逻辑关系,那么这样的结果就会告诉我们真实威胁、风险存在的地方。
当然我们如果还有一些后续的手段对这些进行响应,包括自动交换机在网络层面做一些阻断或者网络的隔离,可以从找到逻辑关系、找到问题,到怎么彻底的把它解决掉。
下面我会举两个具体的例子,这些例子是我从实际的客户业务中得到的。第一个案例是从内网
信息安全角度考虑的,是关于内部信息外协检测的问题,其实我们更多看安全问题,其实将近有80%是来源于我们内部,这其中有很多原因,有的是由于内部员工做的,有的是是不是被植入了黑客木马。这个案例是某一员工很快要离开了,发现他对大量的敏感数据进行访问,之后我们发现他通过P2P软件传输到别的地方去了。
那么ArcSight在这里面是怎么看待这个问题的呢?首先在我们的管理控制台中,可以看到来源于服务器的访问信息,同时还可以看到他的IDS系统在某个时间段都会在下班以后,会发现有一些P2P的数据在里面,那么这在我们的系统中并不是很严重的事件,而前段时间我们还发现他应用了对敏感数据的访问,对P2P的使用时间,其实这些都是我们要关注的,而且时间点很重要,比如你上班时间的访问或者小批量的访问可能是正常的行为,但是你下班时间内大批量的访问是一些不寻常的访问,那么我们可以把这个管理员所访问数据的行为,他访问的时间,包括他之后进行了P2P协议传输的行为,把这些结合在一起,我们发现有可能是一种信息外泄的行为,为什么呢?因为他要离开了,可能他会拷贝大量的信息通过P2P传出去。那么我们就可以把这些文字化日志变成图形化的日志,告诉我信息是从哪里被他知道,然后传到了其它地方。还可以通过我们内置地图的显示,最终可以看到他传到的那个最终目标位置。
|
服 务 CIO 推 进 信 息 化 
